출처: Beosin
2025년 2월 21일 저녁, 암호화폐 거래 플랫폼 바이비트(Bybit)가 대규모 해킹 공격을 받았습니다. 총 자산 가치 15억 달러 이상의 40만 개 이상의 이더리움(ETH)과 스테이크드 이더리움(stETH)이 알 수 없는 주소로 이전되었습니다. 이 사건은 암호화폐 업계 전체를 충격에 빠뜨렸으며, 자금 세탁 방지(AML) 및 탈중앙화 금융 플랫폼의 보안성에 대한 깊이 있는 고찰을 불러일으켰습니다.
오늘 Beosin Trace는 Infini 프로젝트도 공격을 받아 약 5,000만 달러의 손실이 발생했다고 모니터링했습니다. 현재 사건 조사 중입니다. Infini 해커는 현재 4,950만 DAI를 약 1.77만 ETH로 교환하여 새로운 주소 0xfcc8a...6e49로 이전했습니다.
바이비트 사건에서 해커는 크로스체인 교환 플랫폼과 DeFi 프로토콜을 통해 자금을 세탁했습니다. 이러한 불법 자금을 효과적으로 추적하고 차단하는 방법이 업계의 주요 관심사가 되었습니다.
바이비트 사건 개요: 해킹 공격과 자금 세탁
2월 21일 저녁 베이징 시간, 바이비트 플랫폼이 해킹을 당했습니다. 공격자는 15억 달러 이상 가치의 이더리움(ETH)과 스테이크드 이더리움(stETH)을 성공적으로 이전했습니다. 이후 해커는 Chainflip, 토르체인(THORChain), LiFi, DLN, eXch 등의 크로스체인 교환 플랫폼과 DeFi 프로토콜을 통해 도난 자산을 다른 암호화폐(예: 비트코인(BTC))로 교환하여 자금 세탁을 시도했습니다.
14.4억 달러 이상 도난, 암호화폐 분야 최대 보안 사고 - 바이비트 사건 전체 경로 추적 분석
바이비트 측이 사건 발생 후 신속히 대응하여 일부 도난 자금(총 4,289만 달러)을 동결했지만, 해커의 자금 이전 속도가 매우 빨랐고 여러 주소와 크로스체인 프로토콜을 통해 자금 세탁을 시도했기 때문에 추적과 차단에 큰 어려움이 있었습니다. 2025년 2월 24일 현재, BeosinTrace는 해커가 계속해서 자산을 이전하고 있으며 OKX DEX와 토르체인:라우터 등의 교환 크로스체인 프로토콜로 향하고 있음을 추적했습니다.
암호화폐 업계의 자금 세탁 방지 딜레마
해커는 크로스체인 교환 플랫폼과 DeFi 프로토콜의 유동성을 이용하여 자금을 여러 주소와 블록체인 네트워크로 분산시켰습니다. 이로 인해 기존의 블랙리스트 메커니즘과 단순한 자금 추적 도구로는 대응하기 어려운 상황이 발생했습니다. 현재 자금 세탁 방지 분야가 직면한 주요 과제는 다음과 같습니다.
1. 크로스체인 이전의 복잡성
해커는 토르체인, Chainflip 등의 크로스체인 교환 플랫폼을 통해 도난 자산을 다른 블록체인 네트워크로 이전했습니다. 이로 인해 자금 추적의 어려움이 증가했습니다. 크로스체인 기술의 익명성과 탈중앙화 특성으로 인해 자금 흐름 경로가 더욱 은밀해졌으며, 기존의 자금 세탁 방지 도구로는 다중 체인 환경을 효과적으로 다루기 어려웠습니다.
2. 주소 분산 및 빠른 변경
해커는 많은 새로운 주소를 사용하여 자금을 이전했습니다. 기존의 블랙리스트 메커니즘으로는 이를 신속하게 업데이트할 수 없어 일부 자금이 감시를 벗어날 수 있었습니다. 또한 해커는 스크립트를 통해 자동으로 대량의 새 주소를 생성할 수 있어 추적의 복잡성이 더욱 증가했습니다.
3. DeFi 프로토콜의 익명성
DeFi 플랫폼의 익명성과 탈중앙화 특성으로 인해 해커가 이를 쉽게 악용하여 자금을 이전할 수 있었습니다. 예를 들어 해커는 탈중앙화 거래소(DEX)를 통해 자금을 다른 암호화폐로 교환하고 여러 주소로 분산시킬 수 있어, 규제 당국이 정상 거래와 불법 거래를 구분하기 어려웠습니다.
4. 무 KYC 거래소의 악용
The Block에 따르면, 무 KYC 중앙화 거래소 eXch가 바이비트 사건에서 해커의 자금 세탁을 지원한 것으로 지적되었습니다. eXch는 이 혐의를 부인했지만, 사건 발생 후 거래량이 평소 800 ETH에서 2만 ETH로 급증했습니다. eXch 팀은 "바이비트 해킹 공격의 일부 자금이 결국 우리 주소로 들어왔다"고 인정했지만, 이는 "고립된 사례"라고 주장했습니다. 이 사건은 무 KYC 거래소의 자금 세탁 방지 조치 부족을 보여줍니다.
탈중앙화 플랫폼의 방화벽 구축 방안
점점 복잡해지는 해킹 공격과 자금 세탁 행위에 직면하여, DeFi 플랫폼은 위험 자금을 식별하고 차단할 수 있는 더 강력한 도구가 필요합니다. KYT(Know Your Transaction)와 같은 블록체인 산업 전용 자금 세탁 방지 및 자금 추적 도구는 바이비트 사건과 유사한 과제에 효과적으로 대응할 수 있습니다. 다음은 DeFi 플랫폼의 방화벽 구축을 위한 핵심 조치입니다.
1. 자동화된 위험 자금 식별 및 추적
바이비트 사건에서 해커는 종종 크로스체인 교환 플랫폼과 DeFi 프로토콜을 이용했는데, 이러한 플랫폼의 유동성 풀에는 많은 일반 사용자의 자금이 포함되어 있습니다. 모든 관련 플랫폼을 위험으로 표시하면 규제 당국이 많은 오보를 받게 되어 실제 자금 세탁 방지 업무에 방해가 될 수 있습니다. KYT 도구는 자동으로 이러한 주소의 자금 출처를 식별하고 고위험으로 표시하여, 플랫폼이 관련 자산을 신속히 동결할 수 있도록 지원합니다. 예를 들어 Beosin KYT는 스마트 알고리즘과 온체인 데이터 분석을 통해 실시간으로 자금 흐름을 추적하고 해커 관련 주소와 거래를 식별하여 위험 자금이 탈출하지 못하도록 합니다.
2. 크로스체인 및 DeFi 거래의 위험 자금 정확 식별
해커는 크로스체인 교환 플랫폼과 DeFi 프로토콜의 유동성 풀을 이용하여 자금을 이전했기 때문에, 규제 당국이 정상 거래와 불법 거래를 구분하기 어려웠습니다. 기존의 자금 세탁 방지 도구로는 이러한 복잡한 거래 내에 포함된 위험 자금을 정확히 식별하기 어려웠습니다. KYT 도구는 스마트 알고리즘을 통해 크로스체인 및 DeFi 거래 내의 위험 자금을 정확히 식별할 수 있어, 유동성 풀의 정상 자금에 영향을 주지 않습니다. 예를 들어 바이비트 사건에서 해커는 토르체인과 OKX DEX를 사용했는데, Beosin KYT는 이러한 프로토콜 이전의 자금 출처를 자동으로 파악하여 해커 관련 거래를 식별할 수 있었습니다.
Beosin KYT 제품 스크린샷
3. 고위험 거래소 및 주소 표시와 모니터링
바이비트 사건에서 해커는 여러 주소와 크로스체인 프로토콜을 통해 자금을 이전했기 때문에, 기존의 블랙리스트 메커니즘으로는 일부 자금이 감시를 벗어날 수 있었습니다. Beosin KYT는 이번 사건의 거래 패턴을 바탕으로 일부 고위험 거래소와 주소를 표시했습니다. 이러한 고위험 주소에 대한 실시간 모니터링을 통해 플랫폼은 신속히 조치를 취하고 관련 자산을 동결하여 해커의 추가 자금 이전을 막을 수 있습니다.
4. 협력 방어: 위험 주소 정보 공유
해커의 자금 이전 경로는 여러 플랫폼과 프로토콜을 거치므로, 단일 플랫폼의 자금 세탁 방지 조치로는 대응하기 어려웠습니다. 온체인 탈중앙화 프로토콜 프로젝트와 오프체인 거래소 플랫폼이 전용 내부 채널을 통해 해커 관련 주소 정보를 공유할 것을 제안합니다. 이러한 협력 방어 체계를 통해 플랫폼은 해커의 자금 흐름을 신속히 차단하고 관련 자산을 동결할 수 있습니다. 예를 들어 BeosinTrace가 해커 주소 0xfc926659dd8808f6e3e0a8d61b20b871f3fa6465의 자금 이전을 추적했을 때, 관련 플랫폼이 즉시 해당 주소의 자금을 동결하여 추가 유출을
